Whitehat botnet Hajime

Bezpečnostní experti se domnívají, že za botnetem Hajime jsou white hat hackeři. Ti se snaží postupně zaplátat bezpečnostní dírky v IoT zařízeních. Jejich boj má za cíl omezit malware Mirai.

V současné době tak dochází k jakémusi „přetahování“ mezi Hajime a Mirai o to, kdo ovládne větší množství nezabezpečených routerů, DVR, online kamer a dalších IoT, které jsou připojené k internetu.

Podle bezpečnostního experta Mandeep Khera ze společnosti Arxan nikdo neví, kdo za Hajime stojí, ale je to samozvaný ochránce, který stvořil Hajime k boji proti Mirai botnetu a dalším podobným útokům.

Hajime je přitom velmi podobný malware jako Mirai, který objevili bezpečnostní experti ze společnosti Rapidity Networks říjnu minulého roku. Šíří se už několik měsíců a napadá IoT s otevřeným Telnet portem, které používají deafultní hesla. Způsob napadání i šíření je přitom u obou botnetů stejný.

Ovšem zatímco Mirai provádí masivní DDoS útoky, tak Hajime na první pohled nedělá nic. Někteří bezpečnostní experti se dokonce domnívají že se po úspěšném šíření postupně snaží zabírat otevřené porty. Takže Mirain se k zařízením už nedostane.

Nedávné odhady naznačují, že malware Hajime napadl přes deset tisíc routerů, online kamer a dalších zařízení připojených k internetu. Dřívější odhady společnosti Rapidity Networks uváděly, že malware do botneru připojit něco mezi 130 až 185 tisíc zařízeními.

Dalším zajímavým rozdílem je způsob komunikace. Mirai používá command and control servery, které postupně distribuují rozkazy. Naproti tomu Hajime využívá peer to peer architekrutu. Na rozdíl od Mirai tedy má decentralizovanou strukturu. I to nasvědčuje tomu, že není určen pro DDoS útoky, které potřebují synchronizovat zařezení pro masivní útok.

Travis Smith, hlavní bezpečnostní výzkumný inženýr společnosti Tripwire je také zastáncem toho že za malware Hajime je white hat hacker. Největší stopou pro něj je to, že Hajime posílá každých 10 minit zprávu „Jen white hat zabezpečuji něco v systému. Důležité zprávy budou podepsány takto! Autor Hajime. Komunikace uzavřena. Zůstaňte ostražití!“

Ovšem efekt je jen krátkodobý. Podobně jako i u Mirai, když je zranitelné zařízení restartováno, tak zmizí i Hajime. Tím se znovu otevře Telnet port a kdokoliv se dovnitř dostane přes defaultní heslo. Takže boj o to, kdo se k němu dostane dřív začíná nanovo.

Share Button

Tento článek byl byl přečten 318 krát

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *